2015年3月18日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalがバージョン6.x、7.xを使っているユーザーは確認のうえ、必要な場合は6.35,7.35へアップグレードをおすすめします。
●勧告ID: DRUPAL-SA-CORE-2015-001
●プロジェクト: Drupal core
●バージョン: 6.x, 7.x
●投稿日: 2015/3/18
●セキュリティリスク: Moderately Critical
●脆弱性: Access bypass, Open Redirect, Multiple vulnerabilities
==概要==
SA-CONTRIB-2015-042 - Node basket - Multiple vulnerabilities - Unsupported 2015年2月11日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2015-042
●プロジェクト: Node basket (拡張モジュール)
●バージョン: 6.x
●投稿日: 2015/2/11
●セキュリティリスク: Critical
●脆弱性: Cross Site Scripting, Cross Site Request Forgery, Open Redirect, Multiple vulnerabilities
==概要==
Node basketモジュールは、バスケット内のノードを拾うことができます。 このモジュールは一部のページでユーザー指定されたテキストを充分にサニタイズしていません。
それによりクロスサイトスクリプティング(XSS)の脆弱性を公開します。
SA-CONTRIB-2015-032 - Node Invite - Multiple vulnerabilities 2015年1月28日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2015-032
●プロジェクト: Node Invite (拡張モジュール)
●バージョン: 6.x
●投稿日: 2015/1/28
●セキュリティリスク: Critical
●脆弱性: Cross Site Scripting, Cross Site Request Forgery, Open Redirect, Multiple vulnerabilities
==概要==
Node Inviteモジュールは、ノードタイプでRSVPに人を招待することができ、イベントを表すように設定されています。
このモジュールがいくつかのリスト内のノードのタイトルを十分にサニタイズしないので、悪意のあるユーザーがコードを挿入することができます。
SA-CONTRIB-2014-109 - Freelinking - Cross Site Scripting (XSS) 2014年11月12日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-109
●プロジェクト: Freelinkin (拡張モジュール)
●バージョン: 6.x, 7.x
●投稿日: 2014/11/12
●セキュリティリスク: Critical
●脆弱性: Cross Site Scripting
==概要==
SA-CORE-2014-005 - Drupal core - SQL injection 2014年10月15日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalがバージョン7.xを使っているユーザーは直ちに7.32へ、アップデートをおすすめします。
●勧告ID: DRUPAL-SA-CORE-2014-005
●プロジェクト: Drupal core
●バージョン: 7.x
●投稿日: 2014/10/15
●セキュリティリスク: Highly Critical
●リモート接続による悪用
●脆弱性: SQL Injection
==概要==
Drupalの7は、データベースに対して実行されたクエリは、SQLインジェクション攻撃を防ぐためにデータベース抽象化APIが含まれています。 このAPIの脆弱性により、攻撃者は任意のSQL実行結果として特別に細工されたリクエストを送信することができます。リクエストの内容によっては、この権限の昇格、任意のPHPの実行、または他の攻撃につなげることができます。 この脆弱性は匿名ユーザーによって悪用される可能性があります。
==元記事==
SA-CORE-2014-003 - Drupal core - Multiple vulnerabilities 2014年7月16日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CORE-2014-003
●プロジェクト: Drupal core
●バージョン: 6.x,7.x
●投稿日: 2014/07/16
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: Multiple vulnerabilities
==概要==
SA-CONTRIB-2014-053 - Field API Tab Editor (FATE) - Access bypass 2014年5月14日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-053
●プロジェクト: Field API Tab Editor (拡張モジュール)
●バージョン : 7.x
●投稿日: 2014/05/14
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: Access bypass
==概要==
SA-CONTRIB-2014-050-Commerce Postfinance ePayment - Access Bypass 2014年5月14日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-050
●プロジェクト: Commerce Postfinance ePayment (拡張モジュール)
●バージョン: 7.x
●投稿日: 2014/05/14
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: Access bypass
==概要==
SA-CONTRIB-2014-048 - Field API Pane Editor (FAPE) - Access bypass 2014年4月30日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-048
●プロジェクト: Field API Pane Editor (FAPE) (拡張モジュール)
●バージョン: 7.x
●投稿日: 2014/04/30
●セキュリティリスク: Highly Critical
●リモート接続による悪用
●脆弱性 Access bypass
==概要==
SA-CORE-2014-002 - Drupal core - Information Disclosure 2014年4月16日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CORE-2014-002
●プロジェクト: Drupalコア
●バージョン: 6.x,7.x
●投稿日: 2014/04/16
●セキュリティリスク: Moderately critical
●リモート接続による悪用
●脆弱性: 情報漏洩
==概要==
